安全研究人員在一些Skoda汽車使用的資訊娛樂裝置中發現了多個漏洞，這些漏洞可能允許惡意行為者遠端觸發某些控制並即時追蹤汽車的位置。專攻汽車領域的網路安全公司PCAutomotive本週在歐洲黑帽大會上公佈了影響SkodaSuperb III轎車最新型號的12個新安全漏洞。 此前一年，該組織公佈了影響同一車型的另外9 個漏洞。斯柯達是德國汽車巨頭大眾汽車旗下的汽車品牌。

PCAutomotive 安全評估主管Danila Parnishchev 表示，駭客可以將這些漏洞串聯起來並加以利用，將惡意軟體注入汽車。攻擊者需要透過藍牙與SkodaSuperb III的媒體裝置連接才能利用這些漏洞，但他指出：”攻擊可以在10公尺範圍內進行，且無需驗證。”

這些漏洞是在汽車的MIB3 資訊娛樂單元中發現的，攻擊者可以不受限制地執行程式碼，並在單元每次啟動時運行惡意程式碼。 根據PCAutomotive 報導，這可能會讓攻擊者獲取即時車輛GPS 座標和速度數據，透過車載麥克風記錄對話，截圖資訊娛樂顯示屏，並在車內播放任意聲音。

PCAutomotive在一輛Superb III上驗證了這些缺陷，如果車主啟用了與汽車的聯絡人同步功能，攻擊者也有可能竊取車主的手機聯絡人資料庫。

Parnishchev 說：”通常情況下，手機都是加密的，因此無法輕易提取聯絡人資料庫，資訊娛樂裝置的聯絡人資料庫通常是以明文儲存的。”

帕爾尼甚切夫指出，他們沒有找到繞過車載網路網關限制存取方向盤、煞車和油門等對安全至關重要的汽車控制裝置的方法。

PCAutomotive在周四發布的研究報告之前分享了該報告，報告指出，大眾和斯柯達的多款車型都使用了易受攻擊的MIB3單元，根據公開的銷售數據，估計易受攻擊的車輛可能超過140萬輛；

如果考慮到售後零件市場，易受攻擊車輛的數量可能會高得多。 “如果你在eBay 上搜尋一個零件編號，你就會找到它。” 他解釋說：”如果前任用戶沒有刪除，那麼他們的聯絡人資料庫也會存在。”

大眾汽車在透過公司的網路安全揭露計畫報告了這些漏洞後，對其進行了修補；

斯柯達發言人湯姆-德雷克斯勒（Tom Drechsler）在電子郵件聲明中說：”資訊娛樂系統中報告的漏洞已經並正在通過對產品生命週期的持續改進管理加以解決和消除。客戶或車輛的安全從未受到任何威脅。